Kein Unternehmen kann sich heute Nachlässigkeit beim Schutz personenbezogener Daten leisten, unabhängig von der Unternehmensgröße. Einen deutlichen Schub hat der Datenschutz durch Verordnungen wie die die DSGVO bekommen, die Unternehmen weltweit zur Einrichtung und Verbesserung entsprechender Konzepte und Maßnahmen bewegen.
Von Ausnahmen abgesehen, gehören zahlreiche Großunternehmen und weltweit agierende Konzerne zu den Vorreitern. Der Schutz von Daten auf Konzernebene unterscheidet sich nicht nur durch üppigere Ressourcen von den Aktivitäten in KMU, sondern auch durch das Vorgehen. Was heute an Richtlinien und Maßnahmen wirksam ist, wurde über mehrere Jahre aufgebaut, angepasst und verbessert. Bewährt haben sich die folgenden Maßnahmen:
- Wissen, wo sensible Daten liegen
Geschützt werden können nur Daten, von denen ein Unternehmen weiß, dass sie existieren und wo sie liegen. Die genaue Kenntnis des Datenflusses und der Austrittspunkte ist die Grundlage für fundierte Entscheidungen über Maßnahmen zu ihrem Schutz.
Große Unternehmen nutzen zum Aufspüren von Inhalten sogenannte eDiscovery-Werkzeuge, mit denen das Firmennetz auf sensible Daten durchsucht wird. Für den Fall, dass Daten an Stellen gefunden werden, auf denen sie nichts zu suchen haben, werden die Daten mithilfe dieser Tools verschlüsselt oder gelöscht.
- Unternehmensweite Verschlüsselung
Von externen Festplatten über USB-Sticks und Smartphones bis zum Datentransfer auf tragbare Speichermedien oder in die Cloud: Verschlüsselung ist eine Notwendigkeit für alle Unternehmen, die sensible Daten schützen.
Dabei deckt Verschlüsselung insbesondere auch zwei mobilitätsbedingte Risikobereiche ab: Mitarbeiter unterwegs und ortunabhängiges Arbeiten. Bei mobilen Geräten, die außerhalb der Sicherheitsfunktionen des Firmennetzes betrieben werden, stellt sie sicher, dass bei Verlust oder Diebstahl eines Gerätes sensible Daten Dritten nicht zugänglich sind.
- Schutz für Daten in der Cloud
Ein wichtiger Faktor im Rahmen der Digitalisierung ist die Cloud. Allerdings sorgt die Bewertung der Sicherheit von Daten in der Cloud für hitzige Auseinandersetzungen. Während die einen beim Gedanken an sensible Daten auf Servern außerhalb des Unternehmens nervös werden, argumentieren andere mit Sicherheitsvorkehrungen von Cloud-Providern weit über dem Level, den kleinere oder mittelgroße Firmen ihren eigenen Servern angedeihen lassen können.
Diesen Zwiespalt überwinden Großunternehmen, indem sie zum einen Tools verwenden, die den Schutz von Daten in der Cloud sicherstellen sollen, und zum anderen, basierend auf den Inhalten, nur bestimmte Arten von Daten für die Speicherung in der Cloud zulassen. Außerdem werden sensible Daten beim Transfer in die Cloud verschlüsselt.
- Schulungen für alle Mitarbeiter
Zu den größten Risikofaktoren für Daten gehören die Mitarbeiter im Unternehmen. Fehlendes Wissen und mangelnde Sorgfalt beim Umgang mit sensiblen Daten sind die häufigste Ursache von Datenschutzverletzungen. Große Firmen stellen mit regelmäßigen Schulungen und Unternehmensrichtlinien sicher, dass Mitarbeiter, die mit sensiblen Daten arbeiten, bei Compliance-Anforderungen und internen Sicherheitsvorschriften auf dem aktuellen Stand sind.
Mitarbeiter auf Management-Ebene gehören wegen ihres umfassenden Datenzugriffs zu den bevorzugten Opfern von externen Angriffen. Enterprises achten sehr genau darauf, dass die Richtlinien nicht umgangen werden können, damit gleichartiger Schutz auf allen Hierarchieebenen sichergestellt und eine positionsabhängige Aufweichung des Sicherheitskonzeptes verhindert wird.
Software für Data Loss Prevention dient als effizientes Hilfsmittel für die Durchsetzung unternehmensweiter Richtlinien. Die Richtlinien können gruppenspezifisch sowie für einzelne Nutzer oder Endgeräte vergeben und überwacht werden.
- Richtlinien für private Geräte
Bei der Verwendung von privaten Geräten für berufliche Aufgaben werden die damit verbundenen Sicherheitsrisiken häufig außer Acht gelassen. Gelangen sensible Daten auf diese Geräte, verlassen sie das Unternehmensnetz und seine Schutzeinrichtungen.
Großunternehmen schränken die Übertragbarkeit von Daten auf private Geräte ein und arbeiten mit Richtlinien für die Vertrauenswürdigkeit von Geräten. Die Mitarbeiter haben die Möglichkeit, die Unternehmensrichtlinien auf private Geräte auszudehnen; tun sie das nicht, ist sichergestellt, dass keine sensiblen Daten auf das Gerät übertragen werden können.
Fazit
Die Umsetzung von Datenschutz ist für Unternehmen unabhängig von ihrer Größe unverzichtbar. Kleinere Unternehmen brauchen dafür nicht herumexperimentieren und das Rad neu erfinden, sondern können auf Maßnahmen zurückgreifen, die sich andernorts bereits bewährt haben.